کشف آسیب‌پذیری در محصول Automated-Mess-Management-System شرکت boyiddha

کشف آسیب‌پذیری در محصول Automated-Mess-Management-System شرکت boyiddha

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-2282 و شدت 7.3 (بالا) در محصول Automated-Mess-Management-System شرکت boyiddha شناسایی شده‌است. قسمتی از فایل /index.php در قسمت Login سایت تحت تأثیر این آسیب‌پذیری قرار دارد. نقص امنیتی مذکور، این امکان را به مهاجم می‌دهد با دور زدن مکانیزم احراز‌هویت، به پنل ادمین دسترسی غیرمجاز داشته باشد و با تزریق دستورات مخرب SQL بتواند عملیات ورود را دستکاری کرده و موجب شود همیشه پاسخ صحیح از سمت سرور بازگردد، بدین صورت دسترسی سطح بالا بدون اعتبارسنجی صحیح صورت گرفته و محرمانگی، یکپارچگی و در‌دسترس بودن تحت‌تاثیر قرار می‌گیرد. در گام اول بهره‌برداری از آسیب‌پذیری مذکور سعی شده با است یک ایمیل غلط و یک گذرواژه تصادفی عملیات  ورود صورت گیرد. در گام دوم با زیرنظر گرفتن درخواست login و تزریق پی‌لود ذکرشده در پارامتر


 username : "`+or+1%3d1+%23+limit+1+%23" 

منجر به همیشه صحیح بازگرداندن نتیجه دستور می‌شود که مهاجم با تزریق کد SQL ، درنهایت منجر به دورزدن عملیات احرازهویت خواهد شد. در گام سوم درخواست اصلاح‌شده ارسال می‌گردد و مشاهده می‌شود که بدون اینکه اعتبارسنجی‌ صورت گرفته باشد، اپلیکیشن ما را به پنل ادمین هدایت می‌کند و دسترسی غیرمجاز  توسط مهاجم کسب می‌شود.

بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L) بهره‌برداری از آن، از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است. بهره‌برداری چندان به شرایط خاصی  نیاز  نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی (PR:N) و تعامل با کاربر نیاز ندارد(UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U). با سوءاستفاده از این آسیب‌پذیری، هر سه ضلع امنیت با شدت کم تحت تاثیر قرار می‌گیرند. (C:L/I:L/A:L)

 محصولات تحت تأثیر
نسخه‌  1.0 برنامه Automated-Mess-Management-System شرکت boyiddha در برابر نقص امنیتی مذکور آسیب‌پذیر است.

توصیه‌های امنیتی
1.    به‌روزرسانی تمامی بخش‌های نرم‌افزاری اعم از libraryها، plug-inها، frameworkها و نرم‌افزارهای وب‌سرور و دیتابیس به آخرین نسخه.
2.    استفاده از Firewallها، IDSها و IPSها به منظور مسدود کردن حملات کنونی و قابل‌پیشبینی.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-2282
[2] https://vuldb.com/?id.256049
[3]https://github.com/skid-nochizplz/skid-nochizplz/blob/main/TrashBin/CVE/boyiddha%20utomated-Mess-Ma…